
Um bug no Facebook
estava revelando a identidade de administradores de páginas da rede social
mesmo quando os usuários optavam por omitir essa informação. A vulnerabilidade foi descoberta e relatada pelo pesquisador Shubham Bhamare, que recebeu US$ 5 mil (o equivalente a mais de R$ 26 mil) graças ao programa de recompensas Facebook Bug Bounty.
A falha ocorria quando o administrador vinculava uma página a algum grupo na rede social , mas optava por não usar seu perfil pessoal ao interagir na comunidade – com a intenção de evitar possíveis retaliações, o que costuma ocorrer em países com regimes autoritários, por exemplo. Dessa forma, toda atividade relacionada ao grupo seria automaticamente atrelada à página, não ao perfil do administrador.
No entanto, se o administrador criasse um documento dentro da plataforma de grupos do Facebook , o bug era ativado. Quando outros administradores selecionavam a opção ‘Histórico de Edições’ para ver as alterações feitas no arquivo, eles tinham a possibilidade de ver a identidade real do criador do grupo – o que é uma brecha nas opções de privacidade .
A única forma de contornar a situação era desmarcando a opção que permite que outros integrantes do grupo editem o documento. Agora, a rede social corrigiu a falha por meio de um patch.
Bhamare ainda descobriu que o bug ocorria também na aba ‘Arquivos’ e o próprio Facebook
encontrou uma terceira ocorrência. Ambas também foram corrigidas pela empresa.
O caso ocorreu (e foi resolvido) em 2019, mas só agora veio à tona em um post no site do grupo de cibersegurança Save Breach, do qual Bhamare faz parte.